Grundlegender Fehlerbehebungsleitfaden für AMP für Endgeräte Linux Connector

Download-Optionen

  • PDF     (456.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (416.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (437.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:7. Juni 2020
Dokument-ID:215625

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Dieses Dokument beschreibt eine grundlegende Methode zur Behebung von Leistungsproblemen. auf Cisco Advanced Malware Protection (AMP) für Linux-Connector für Endgeräte.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

    • AMP für Endgeräte
    • Linux/UnixBetriebssysteme

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

    • Red Hat Enterprise Linux (RHEL) / Community Enterprise Operating System (Cent)BS) Versionen 60,10 und 77
    • AMP für Endgeräte Linux Anschluss Version 1,11,1

    Eine vollständige Liste der kompatiblen AMP-Versionen mit Linux-Betriebssystem finden Sie in diesem Artikel.

    Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen

    Der AMP-Connector scannt alle aktiven Dateien (die sich selbst verschieben, kopieren und/oder ändern) auf einem Computer, es sei denn, dies wird ausdrücklich untersagt. Dies führt unweigerlich zu Leistungsproblemen, wenn zu viele Prozesse und Abläufe ausgeführt werden, während der Connector aktiv ist. Dies führt zu einer hohen CPU-Auslastung, Verlangsamungen und in einigen Fällen zu Software, die nicht ausgeführt wird oder langsam läuft. Darüber hinaus blockiert der AMP-Connector möglicherweise Dateien basierend auf ihrer Cloud-Reputation, was manchmal falsch (falsch positiv) sein kann. Die Lösung für beide Probleme ist, diese Pfade und Prozesse; Bei Fehlalarmen, nicht leistungsbezogenen Problemen oder Leistungsproblemen, die nicht über diesen Leitfaden gelöst zu werden scheinen, wird empfohlen, die Ticketunterstützung zu erhöhen.

    Die Fehlerbehebung für grundlegende Leistungsprobleme verläuft wie folgt:

    • Sammeln Sie ein Debug-Paket, während das Problem reproduziert wird.
    • Führen Sie das AMP-Support-Tool aus
    • Überprüfen der entsprechenden Dateien
    • Nach Bedarf Ausschluss hinzufügen

    Fehlerbehebung

    Sammeln eines Debugpakets

    Ein Debugpaket ist eine ZIP-Datei, die detaillierte Debuginformationen (z. B. Scan-Protokolle) auf dem Anschluss enthält. Dieses Paket ist zur Fehlerbehebung bei den meisten Problemen mit dem AMP für Endgeräte-Anschluss unerlässlich. Um ein Debug-Paket zu sammeln, gehen Sie wie in der Sammlung von Diagnosedaten von AMP für Endgeräte Linux Connector beschrieben vor.

    Welche Informationen werden vom AMP-Support-Tool erfasst, wenn ein Debug-Paket ausgeführt wird?

    Die Prozesseingabe des Debugpakets zeigt, dass die ampsupport führt einige Protokollauflistungsbefehle aus, wie im Bild gezeigt.

    Lesen grundlegender Linux-Bündelprotokolle, um die betroffenen Pfade und Prozesse zu identifizieren

    Das Debug-Paket für Linux AMP für Endgeräte wird mitgeliefert. eine Fülle nützliche Informationen, aber für die grundlegende Behebung von Leistungsproblemen gibt es nur wenige Dateien zu überprüfen, wie im Bild gezeigt: fileops.txt, fiescans.txt und Execs.txt.

    Die Textdatei File Operations (fileops) fungiert als wichtigstes Tool zur Behebung von Leistungsproblemen. Es listet alle aktuell aktiven Vorgänge auf Ihrem Endpunkt auf, während der Connector ausgeführt wird. Dies sind die Pfade, um die Festlegung von Richtlinien auszuschließen, wenn dies für notwendig/sicher erachtet wird.

    Es erhält folgende Fassung:

    • <Bei Ausführung des Paketerfassungsprozesses durchgeführte Nummernprüfungen für den Pfad> /<gescannter Pfad>

    Scans Beispiel:

    • 1 /homet/user/.mozila/Firefox/

    In der Datei Dateiprüfungen (DateienScan) Text werden alle Prozesse aufgelistet, die ausgeführt werden, während der Connector die gesammelten Debuginformationen erfasst.

    Er lautet als solcher:

    • <Ausführungszeit> , <Dateityp>, <Betriebstyp>, <Prozesspfad>, <Parent Process path>, <Prozess-ID>, <Parent Process ID>, <SHA-Signatur (Nicht SHA256)> <Dateigröße>

    Die Textdatei File Execution (Execs) listet alle Linux-Befehle auf, die von aktiven Prozessen auf dem Connector verwendet werden, während der Connector das Paket gesammelt hat.

    Warnung: Die hier aufgeführten Pfade dürfen in der AMP-Richtlinie nicht ausgeschlossen werden, da es sich um Binärdateien (/bin) und Systembinaries (/sbin) handelt, die von allen Prozessen verwendet werden. Diese Liste kann jedoch nützlich sein, um zu versuchen, zu verstehen, welche Aktionen von den verschiedenen Prozessen ausgeführt werden, die auf dem Zielcomputer ausgeführt werden.

    Sobald Pfad identifiziert ist, muss er über Richtlinie ausgeschlossen werden. Befolgen Sie die Best Practices für AMP für Endgeräte-Ausschlüsse.

    Prozessausschlüsse, die von den Mac- und Linux-Anschlüssen behandelt werden, werden in ähnlicher Weise über Richtlinien hinzugefügt. Die Methode unterscheidet sich jedoch geringfügig: Prozessausschlüsse in MacOS und Linux.

    Nach dem Hinzufügen von Ausschlüssen können Sie testen und überwachen, ob das Problem weiterhin besteht. Wenden Sie sich an den AMP TAC-Support.

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Juan Castillero
      Cisco TAC-Techniker
    • Edited by Yeraldin Sanchez
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.